Académique Documents
Professionnel Documents
Culture Documents
Evoluzioni nel
mercato italiano
della Cybersecurity
Maggio 2013
|1
SOMMARIO
SCENARIO INTERNAZIONALE DELLA CYBERSECURITY
10
15
19
21
22
NOTA METODOLOGICA
26
28
30
34
|2
Roberto Masiero
Co-Founder
The Innovation Group
Ezio Viola
Co-Founder
The Innovation Group
|3
Nuove
responsabilit tra
chi conduce i
cyber attacchi
Crescita del
Mobile malware
|4
Lelemento
umano come
maggiore
vulnerabilit
Richiesta di
Awareness e
cultura della
security
Inoltre, dando per scontata oramai la possibilit di un attacco, sarebbe auspicabile che
tutte le aziende fossero in grado di reagire tempestivamente. Lanalisi di quanto
avvenuto ad oggi porta infatti a consigliare misure immediate di risposta allattacco
informatico, anche quando se ne subito un danno, perch questo aiuta a limitarne gli
effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data
breach sui loro dati pu servire a limitare la perdita di clienti come conseguenza
dellattacco. Il customer churn come conseguenza di un attacco portato a termine
rappresenta un elemento da considerare, variabile a seconda del settore in cui opera
lazienda, in genere pi alto per servizi finanziari o prodotti High Tech.
Necessit di
misure immediate
di risposta
Nel 2012 si poi assistito allestensione degli attacchi anche verso le nuove piattaforme
dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi
Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si trattato pi che altro di
furti di identit, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando
tecniche di hacking basilari e sfruttando pi che altro la limitatezza dei meccanismi di
autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica per
nel caso di utilizzo business dei Social Media, perch in questo caso aumentano rischi di
reputazione, danno dimmagine, responsabilit verso terzi, perdita di dati rilevanti o
diffusione di malware da comunicazioni provenienti dai Social Media, con possibili
implicazioni economiche per le aziende.
Attacchi a Social
Networks e servizi
Cloud
Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in
evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di
Dropbox, accedendo allaccount di un dipendente della societ gli hacker sono entrati in
possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in
definitiva per inviare spam. Altre situazioni sono apparse per pi gravi, in particolare, la
temporanea indisponibilit del servizio di Amazon AWS. In questo caso non si trattato
tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La
mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data
|5
|6
Infrastrutture
critiche e Internet
of Things (IoT)
Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai
Social Networks, al BYOD (Bring Your Own Device).
Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha
raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita
delladozione. Ci nonostante rimangono isole di arretratezza su aspetti interni del
Security Management che richiederebbero un momento di riflessione da parte dei
responsabili.
|7
Nonostante il 74%
delle aziende riporti
di aver subito
almeno un incidente
informatico dovuto
a cyber attacco, le
misure di Incident
Response hanno
oggi unadozione
ancora molto
limitata.
Descrizione
Massimo
Alto
Medio
Vengono svolte quelle che nel nostro settore sono le misure principali
Basso
|8
Livello
massimo
19%
Livello medio
33%
Livello alto
45%
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
24%
50-1.000 addetti
< 50 addetti
43%
17%
48%
13%
0%
33%
32%
38%
20%
Livello massimo
38%
40%
Livello alto
60%
Livello medio
3%
13%
80%
100%
Livello basso
|9
Finance
31%
Settore Pubblico
25%
Servizi
Utilities
Retail
62%
46%
14%
40%
34%
20%
14%
33%
40%
14%
Livello massimo
15%
58%
10%
0%
29%
56%
8%
Industria
8%
10%
52%
40%
Livello alto
60%
Livello medio
80%
100%
Livello basso
| 10
Analizzando la
percezione delle
aziende con
riferimento ai rischi
informatici, si osserva
un approccio ancora
troppo legato al
passato.
55%
51%
46%
33%
26%
13%
12%
0%
20%
40%
60%
Anche considerando le risposte relative alla pericolosit dei metodi di attacco, riportate
nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce
tradizionali. E vero che tra i rispondenti della survey molti sono CIO e IT Manager (49%
dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer,
Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse
percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura
successiva, non pu che rimanere preoccupato vedendo quanto bassa lattenzione
prestata ai nuovi cyber threats.
| 11
76%
Phishing/Social Engineering
30%
29%
SQL injection
24%
Zero-day attacks
16%
APTs/spear phishing
13%
Attacchi Scada
8%
0%
20%
40%
60%
80%
100%
| 12
42%
Anonymous/Hacktivists
38%
27%
19%
Competitors
11%
Stati esteri
10%
Business Partner
4%
15%
0%
20%
40%
60%
Lo sfruttamento delle vulnerabilit dellICT per perpetrare frodi con furto di informazioni
da parte della criminalit organizzata un fenomeno in crescita in ogni parte del mondo.
I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai
cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre
informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber
espionage). La seconda tipologia di attacchi in forte crescita invece quella degli
hacktivists (Anonymous, WikiLeaks) il cui scopo effettuare azioni di protesta civile,
dove sono lesi i principi della libert digitale oppure dove si vuole far emergere
allopinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono
immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad
azioni di hacktivists oggi considerato come rilevante da parte di molte aziende.
In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati
Esteri. E oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si
2
siano dotate negli ultimi anni di apparati di intelligence che effettuano attivit di cyber
espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come
tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere
avanzate.
Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli
| 13
45%
40%
26%
22%
20%
4%
2%
1%
Tra 7 e 10
Tra 11 e 20
Superiore a
40
0%
Nessuno
Tra 1 e 2
Tra 3 e 6
Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo
linterruzione delle attivit e il danno dimmagine. Invece, il danno economico non
ritenuto al momento prioritario, ma questo aspetto probabilmente legato al fatto che
si sottostima limpatto economico di un incidente informativo.
Figura 8: Conseguenze degli attacchi informatici - secondo le aziende
Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti?
Interruzione dellattivit
44%
38%
31%
Perdita economica
26%
15%
13%
Perdita di clienti
12%
9%
2%
Nessun danno
5%
0%
20%
40%
60%
| 14
71%
63%
38%
20%
19%
16%
15%
13%
5%
0%
20%
40%
60%
80%
| 15
Mobile security: solo un 16% delle aziende considera tra gli obiettivi della
funzione security anche il controllo di device mobile.
Ancora meno importanti nelle aziende del campione analizzato aspetti come
legare le scelte di security a valutazioni di impatto sul Business dei rischi
informatici, lautomatizzazione delle attivit legate alloperativit quotidiana
della security o la definizione di modelli operativi per lutilizzo sicuro dei servizi
Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre
i costi del Security Management e spostare lattenzione su attivit
maggiormente business critical, ma il tema non attualmente al centro delle
strategie per la security.
In conclusione, una prima figura che emerge dallanalisi degli obiettivi per i responsabili
del Security Management, di un focus prevalente sulla gestione del day-by-day, sul
controllo di una serie di strumenti gi implementati, scarso coordinamento con altri
ambiti dellimpresa, e in generale di nuovo unevidente ritardo nella capacit di risposta
ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di
obiettivi che dovrebbe avere una funzione che governa aspetti con importanza
fondamentale per la sopravvivenza stessa del business aziendale, come era stato
dichiarato inizialmente.
Andando a vedere come nella pratica si traducono gli obiettivi della funzione security,
ossia quali sono le attivit e i task che quotidianamente vengono svolti, in azienda o
tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti.
Nellanalisi ci siamo concentrati su quelli che riteniamo essere i processi principali del
Security Management. Come mostra la figura successiva, trattandosi di attivit core,
sono per lo pi svolte internamente, e quando date allesterno, nella maggior parte dei
casi mantenendo comunque allinterno la Governance complessiva per cui al fornitore
sono demandate soltanto attivit operative con una gestione che rimane comunque
allinterno.
Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la
totalit delle imprese contattate (considerando sia il fatto che siano svolti internamente
che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability
Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione pi
basse, tra il 70 e l80% (contando anche lapporto dei fornitori esterni), e mostrano
contemporaneamente una pi elevata propensione alloutsourcing.
| 16
Focus prevalente
sulla gestione del
day-by-day, sul
controllo di una serie
di strumenti gi
implementati, scarso
coordinamento con
altri ambiti
dellimpresa, e in
generale di nuovo
unevidente ritardo
nella capacit di
risposta ai nuovi
rischi, ad esempio la
diffusione in azienda
di dispositivi mobile.
76%
20%
64%
32%
2%
3%
Internamente
Enforcement delle policy
70%
23%
2%
Backup e recovery/BC
66%
66%
Event/Log Management
65%
19%
8% 5%
Patch Management
64%
19%
7% 7%
Risk Management
66%
Compliance Management
23%
21%
23%
39%
SIEM/Security Intelligence
25%
43%
0%
20%
21%
40%
3% 8%
21%
57%
Vulnerability Scanning
5% 5%
21%
63%
Incident Response
4%
60%
Svolto in toto da
fornitori esterni
3% 11%
6% 11%
19%
9%
Governance interna
e attivit date
all'esterno
14%
25%
80%
100%
Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo.
| 17
51%
48%
28%
24%
23%
19%
18%
13%
0%
20%
40%
60%
| 18
56%
52%
40%
25%
23%
9%
5%
0%
20%
40%
60%
Le misure preventive sono quelle che di solito fanno capo alle attivit di Vulnerability
Assessment/Penetration Test. Come mostra la figura successiva, sono quelle pi diffuse
presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si
mostrano poco preparate non avendo evidentemente strutturato le attivit di Incident
Response in modo organico e completo sono le attivit forensiche (di comprensione
| 19
La gestione degli
incidenti unattivit
fondamentale, volta
a limitarne le
conseguenze, in
quanto un incidente
non gestito pu
comportare in
cascata successivi
effetti disastrosi e in
alcuni casi condurre a
impatti imprevedibili.
52%
43%
34%
21%
18%
17%
9%
10%
0%
20%
40%
60%
| 20
Sempre pi spesso le
applicazioni aziendali
sono aperte al
Web, evidente che
la mancanza di
misure specifiche
rappresenta una falla
molto grave nelle
policy di security.
Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012
| 21
97%
3%
96%
4%
Access control
94%
Backup/recovery
92%
3%
4%
79%
72%
71%
62%
60%
Sender reputation/whitelisting
46%
Messaging security
45%
Soluzioni anti-APTs
30%
0%
20%
2012
3%
25%
7%
22%
9%
29%
9%
50%
8% 13%
31%
10%
40%
12%
42%
8%
46%
11%
40%
2013
59%
60%
80%
100%
Non previsto
Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013
| 22
67%
11%
39%
17%
51%
6%
35%
27%
0%
Si
20%
43%
9%
38%
39%
56%
24%
41%
14%
40%
22%
60%
60%
80%
100%
No e non previsto
Per quanto riguarda invece le misure di security specifiche per lambito dei Social Media,
dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare
alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media
pu comportare numerose problematiche a livello aziendale. La commistione tra
lutilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali
vadano a ledere limmagine dellazienda, o le reti interne possano essere pi facilmente
attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di
avere soluzioni di security assessment per la navigazione online, o di poter rilevare,
tramite misure ad hoc, laccesso ai siti social. Va osservato per che queste forme di
controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le
situazioni, dal momento che sempre pi spesso gli utenti si collegano ai siti social da
mobile.
| 23
34%
27%
23%
6%
24%
0%
10%
20%
30%
40%
50%
Pochissime aziende poi verificano con attenzione gli agreement sottoscritti al momento
delliscrizione. Questa problematica riguarda chi utilizza i Social Media per il business, e
quindi ad esempio registra una pagina social aziendale su Facebook o altri siti. Non fare
attenzione agli agreement sottoscritti al momento delliscrizione pu comportare la
perdita per le aziende di alcuni diritti sulla propriet dei contenuti che saranno caricati
sui siti.
Per quanto riguarda la percezione che le aziende hanno della sicurezza offerta dai Cloud
provider, la figura successiva mostra in generale un livello elevato, con giudizi per lo pi
positivi con leccezione soltanto di un aspetto, la possibilit che il Cloud provider
fornisca garanzie su una localizzazione dei dati corrispondenti alle norme. Limpressione
che fornisce la figura che con lutilizzo di servizi Cloud le aziende trasferiscono la
responsabilit su processi e tecnologie di Cybersecurity ai loro fornitori.
| 24
79%
21%
75%
25%
61%
39%
60%
40%
56%
44%
55%
45%
40%
0%
20%
60%
40%
60%
80%
| 25
100%
Nota Metodologica
Nota Metodologica
Sono riportate di seguito le caratteristiche del campione utilizzato per la survey.
Lindagine stata svolta, in parte con interviste telefoniche dirette e in parte con survey
online, tra marzo e aprile 2013. Ha coinvolto 115 aziende dei diversi settori verticali, con
una prevalenza di realt del mondo manifatturiero (29 aziende), della pubblica
amministrazione e sanit (25), del settore finanziario (13) e delle utilities (12). Con
riferimento al settore finanziario, non si tratta di grandi gruppi bancari ma piuttosto di
banche di media dimensione, assicurazioni e intermediari finanziari. Il mondo utilities
comprende anche operatori Oil&Gas e numerose municipalizzate.
Figura 18: Settore delle aziende del campione
Domanda: In quale settore opera la sua azienda?
Banche/Finanza
Information Sanit Turismo
9%
7%
Utility
Technology
2% Costruzioni
Assicurazioni
10%
2%
3%
3%
Settore Pubblico
Trasporti/Logisti
15%
ca
7%
TLC/Media
Commercio,
4%
Distribuzione
9%
Servizi
Industria
4%
25%
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Con riferimento alla dimensione delle aziende nel campione, si ha una distribuzione su
pi classi, ma per lo pi concentrata su aziende di media dimensione (con 65 casi tra i 51
e i 1.000 addetti) e di grande dimensione (42 casi di aziende con oltre 1.000 addetti, fino
a oltre 10.000 addetti, come mostra la figura successiva). La classe delle piccole imprese,
con meno di 50 addetti, conta soltanto 8 casi, che non possono quindi essere assunti
come significativi della realt delle piccole aziende. Invece la rappresentativit delle
medie e grandi sufficiente per elaborare considerazioni generali per queste tipologie di
aziende.
| 26
Nota Metodologica
Figura 19: Dimensione delle aziende del campione
Domanda: Qual il numero di dipendenti della sua azienda?
5.001-10.000
8%
10.001+
9,6%
11-50
7%
1.001-5.000
19%
501-1000
18%
51-100
9%
101-200
9%
201-500
21%
Hanno risposto allindagine responsabili aziendali con diversi ruoli, dal direttore generale
al responsabile IT, alle figure specialistiche e i manager dedicati alla security. Veniva
intervistato di volta in volta chi rispondeva in azienda delle scelte collegate al Security
Management. Si nota che nella maggior parte dei casi questo ruolo affidato al CIO o al
responsabile dei sistemi informativi (49% delle risposte) ma in un 28% delle aziende
contattate hanno risposto figure con ruolo e responsabilit specifiche, ossia CSO/CISO
oppure Security Manager. Nei restanti casi (escludendo le risposte relativi ai
CEO/direttori generali) si parlato con figure tecniche come security engineer/analyst e
consultant, che rispondevano direttamente al CIO.
Figura 20: Ruolo dellintervistato
Domanda: Qual il suo ruolo in azienda?
Security
Manager
20%
Security
engineer/analys
t/consultant/ad
ministrator
12%
Chief Security
Officer (CSO)/
Chief
Information
Security Officer
(CISO)
8%
CEO/AD/Diretto
re Generale
11%
Chief
Information
Officer (CIO) o
Direttore IT
49%
| 27
6
7
8
9
| 28
10
11
12
13
| 29
Per facilitare il
dialogo tra domanda
ed offerta nel
mercato del Cloud,
CSA ha lanciato nel
2011 uniniziativa
chiamata CSA
Security, Trust &
Assurance Registry
(STAR) che ha
lobiettivo di
incoraggiare i CSP a
fornire adeguate
informazioni ai
potenziali clienti.
14
cloudsecurityalliance.org/education/ccsk
| 30
Allinterno di un
contesto aziendale
possibile acquisire
prove digitali che sia
stato commesso un
cyber crime o unaltra
tipologia di illecito,
ma importante
sapere che tale
acquisizione deve
avvenire nel rispetto
di procedure tecniche
che garantiscano la
piena utilizzabilit
della digital evidence
raccolta.
Integrit del dato: quando si effettua unindagine su un dato digitale (da una
singola email, allintero contenuto del server di una societ), importante
garantire che la prova sia autentica e non modificata.
Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso
devono essere assicurati fisicamente in un luogo sicuro allinterno dellazienda
o anche allesterno della realt aziendale.
Impronta di Hash: una funzione univoca operante in un solo senso (ossia, non
pu essere invertita), attraverso la quale un documento di lunghezza arbitraria
trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale
stringa, che rappresenta una sorta di impronta digitale del testo in chiaro,
definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale
alterazione del documento anche minima, perch in tal caso si ha una modifica
dellimpronta. In altre parole, calcolando e registrando limpronta, e
successivamente ricalcolandola, possibile dimostrare se i contenuti di un file,
oppure del supporto, hanno subito o meno modifiche, anche solo accidentali.
15
Tra i software open source una delle distribuzioni pi note DeftLinux (http://www.deftlinux.net)
16
| 31
di
Tali attivit possono essere svolte sia per scopi legittimi (ad esempio l'analisi e
l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi
illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne
consegue che, come sempre, opportuno valutare quali siano i limiti previsti dalla legge
italiana allutilizzo di questi strumenti.
Esistono limiti legali ai controlli e alle misure preventive che possono essere
predisposte in azienda?
Luso (che talvolta sfocia in abuso) dellinformatica nel contesto aziendale genera non
solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici
volti allo spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma
comporta sempre di pi la necessit di adottare modelli organizzativi in grado di
prevenire la commissione di cyber crimes o di reati comunque connessi alluso delle
nuove tecnologie.
17
Il rispetto delle misure di sicurezza previste dal Codice Privacy , non sempre
sufficiente a garantire una vera protezione e diventa necessario adottare procedure e
utilizzare strumenti in grado di controllare ogni tipo di anomalia allinterno del sistema
informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti
attivit:
Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in
vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli
eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli
articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha
richiesto che il datore di lavoro rispetti i seguenti principi:
17
| 32
Alla luce di quanto descritto, si pu concludere che le indicazioni fornite dal Garante
della Privacy in tema di controllo tecnologico del dipendente non rendono sempre
facile lo svolgimento di unattivit di internal investigation compliant da un punto di vista
legale. Tuttavia, anche vero che la prova raccolta violando le disposizioni in materia di
privacy, potr comunque essere utilizzata sia per fini disciplinari nei confronti del
dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale.
| 33
18
19
| 34
20
COM(2010)245
| 35
| 36
| 37
| 38
The Innovation Group (TIG) una societ di servizi di consulenza direzionale, advisory e ricerca
indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del
Business e dei processi aziendali attraverso lutilizzo delle tecnologie digitali e delle nuove
tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare
strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di go
to market, di produzione e gestione integrata della conoscenza interna ed esterna dellazienda
tramite le tecnologie ICT.
The Innovation Group formato da un Team con esperienze consolidate, sia a livello locale sia
internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti
internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,
delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle
Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle
ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le
capacit esistenti allinterno e prendere le decisioni pi utili in tempi rapidi.
The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di
mercati, tecnologie e best practice.
Tutte le informazioni/i contenuti presenti sono di propriet esclusiva di The Innovation Group (TIG) e sono da
riferirsi al momento della pubblicazione. Nessuna informazione o parte del report pu essere copiata,
modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto
da parte di TIG. Luso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il
copyright e comporta penalit per chi lo commette.
| 39
| 40